aplicaÇÃo do ciclo de vida de seguranÇa da iec61511.pdf

UNIVERSIDADE FEDERAL DA BAHIA

ESCOLA POLITÉCNICA

PROGRAMA DE PÓS-GRADUAÇÃO EM ENGENHARIA INDUSTRIAL

CURSO DE ESPECIALIZAÇÃO EM AUTOMAÇÃO INDUSTRIAL COM

ÊNFASE EM INFORMÁTICA, INSTRUMENTAÇÃO, CONTROLE E OTIMIZAÇÃO

DE PROCESSOS CONTÍNUOS

ERICK JOMIL BAHIA GARCIA

APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA

IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.

Salvador

2012

ERICK JOMIL BAHIA GARCIA

APLICAÇÃO DO CICLO DE VIDA DE SEGURANÇA DA

IEC 61511 NO PROJETO PVC ALAGOAS BRASKEM S.A.

Monografia apresentada ao Programa de

Pós-Graduação em Engenharia Industrial,

Escola Politécnica, Universidade Federal

da Bahia, como requisito para obtenção

do grau de Especialista em Automação

Industrial.

Instrutora: Monica Levy Hochleitner, Msc.

Salvador

2012

“Quando você não pode medir, seu

conhecimento é escasso e insatisfatório.”

Lord Kelvin, 1883

RESUMO

GARCIA, Erick Jomil Bahia; “Aplicação do Ciclo de Vida de Segurança da IEC

61511 no Projeto PVC Alagoas Braskem S.A.”; Salvador, BA; Programa de Pós

Graduação em Engenharia Industrial, Escola Politécnica, Universidade Federal da

Bahia, 2012. 92 f. Monografia (Especialização).

Dentro do contexto da indústria petroquímica, a especificação do modo de

operação e dos componentes para funções instrumentadas de segurança

necessitam ser analisados à luz de padrões internacionais que apresentem as

melhores práticas de engenharia, sendo hoje o padrão mais utilizado a IEC 61511-1,

2 e 3:2003 - Functional safety - Safety instrumented systems for the process industry

sector. Este estudo pretende analisar e avaliar qualitativamente como a Braskem

S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003

para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC

em Alagoas. As etapas do ciclo de vida de segurança serão verificadas por durante

o estudo com o objetivo de fornecer subsídios para a empresa aprimorar seus

processos de aplicação da referida norma. O ciclo de vida de segurança utilizado no

projeto, objeto do estudo, consiste das seguintes etapas: identificação e

quantificação dos riscos de processos, determinação do nível de integridade de

segurança (SIL) requerido, criação da especificação de requisitos de segurança,

seleção de componentes com especificação da arquitetura e relatório de verificação

das funções instrumentadas de segurança. As etapas do ciclo de vida de segurança

pós-projeto não serão analisadas. A partir dos resultados da análise, pretende-se

identificar objetivamente se a norma IEC 61511:2003 foi aplicada em sua totalidade

ou parcialmente, assim como verificar o grau de aderência aos requerimentos da

mesma. Através da conclusão do estudo surgem recomendações para o processo

de engenharia utilizado pela empresa.

Palavras-chaves: SIL. IEC 61511. SIS. Segurança de processo.

ABSTRACT

GARCIA, Erick Jomil Bahia; “Using IEC 61511 Safety Lifecycle in PVC Project

Alagoas Braskem SA”; Salvador, BA; Programa de Pós Graduação em Engenharia

Industrial, Escola Politécnica, Universidade Federal da Bahia, 2012. 92 f. Monografia

(Especialização).

Within the context of the petrochemical industry, the specification of the

operation mode and components for safety instrumented functions need to be

analyzed under international standards that follow the best engineering practices,

and nowadays IEC 61511-1, 2 and 3:2003 - Functional safety - Safety instrumented

systems for the process industry sector is the standard more often used and known.

This study aims to analyze how Braskem SA used the safety life-cycle established by

the IEC 61511:2003 standard for the design of safety instrumented system (SIS) of

its new PVC plant in Alagoas. The stages of the safety life-cycle will be verified with

the objective of providing subsidies to improve their business processes. The safety

life-cycle used in this project consists of the following steps: identification and

quantification of processes risks, determining the safety integrity level (SIL) required,

establishment of safety requirements specification, component selection with

architecture specification report and verification of safety instrumented functions. The

stages of the safety life-cycle post project will not be evaluated. From the results, we

intend to identify objectively if IEC 61511:2003 standard was applied in whole or in

part, so as to verify the degree of adherence to the requirements. From the

conclusion of the study, recommendations arise for the engineering flow process

used by the company.

Keywords: SIL. IEC 61511. SIS. Process safety.

LISTA DE ILUSTRAÇÕES

Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle. ......... 15

Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação

funcional de segurança. ............................................................................................ 23

Figura 3 – Nova planta Braskem de PVC. ................................................................. 33

Figura 4 – Maquete da planta de PVC. ..................................................................... 34

Figura 5 – Distribuição das malhas de intertravamento por nível de proteção

requerido. .................................................................................................................. 37

Figura 6 – Software utilizado para a realização dos cálculos de verificação de SIL.. 48

Figura 7 – Resultados da verificação da SIF-31-001. ............................................... 49



Figura 10 – Resultados da verificação da SIF-32-001. ............................................. 50


Figura 12 – Resultados da verificação da SIF-32-003/004. ...................................... 51








Figura 20 – Resultados da verificação das SIF-33-006/007. ..................................... 55








Figura 28 – Resultados da verificação das SIF-41-001/002/003. .............................. 59









Figura 37 – Resultados da verificação das SIF-42-001/002. ..................................... 64

Figura 38 – Resultados da verificação das SIF-42-003. ............................................ 64

Figura 39 – Resultados da verificação das SIF-42-004. ............................................ 65

LISTA DE TABELAS

Tabela 1 – Nível de integridade de segurança: probabilidade de falha na

demanda.....................................................................................................................20

Tabela 2 – Visão geral do ciclo de vida de segurança do SIS. .................................20

Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas............37

LISTA DE ABREVIATURAS E SIGLAS

AD Annunciation detected – alarme detectado pelo diagnóstico.

AU Annunciation undetected – alarme não detectado pelo diagnóstico.

CCF Commom cause failures – falhas de causa comum.

DD Dangerous detected – falha perigosa detectada pelo diagnóstico.

DU Dangerous undetected – falha perigosa não detectada pelo

diagnóstico.

EUC Equipment under control – equipamento sob controle.

HFT Hardware fault tolerance – tolerância a falhas do equipamento.

IEC International electrotechnical commission – comissão eletrotécnica

internacional.

IHM Interface humano máquina.

IPL Independent protection layers – camadas de proteção

independentes.

MAC Main automation contractor – contrato de fornecimento global de

automação.

MTTR Mean time to repair – tempo médio para reparo.

PFDavg Probabilidade média de falha sob demanda (aplicado ao modo de

baixa demanda de falha).

PFH Probabilidade de falha perigosa por hora (aplicado aos modos

contínuo ou de alta demanda de falha).

PIU Proven in use – de uso comprovado para o SIL requerido.

PST Partial stroke test – teste de curso parcial.

RRF Risk reduction factor – fator de redução de risco.

SD Safe detected – falha segura detectada pelo diagnóstico.

SERH Safety equipment reliability databook - base de dados de

confiabilidade do equipamento de segurança.

SFF Safe failure fraction – fração de falha segura.

SIF Safety instrumented function – função instrumentada de

segurança.

SIL Safety integrity level – nível de integridade de segurança.

SILachieved Safety integrity level achieved – nível de integridade de segurança

alcançado, calculado na fase de verificação de SIL.

SILtarget Safety integrity level target – nível de Integridade de segurança

que se deseja atingir pela SIF para prevenir ou minimizar

determinado risco. É conhecido por SIL alvo ou SIL requerido,

calculado na fase de análise de risco conhecido como seleção ou

determinação de SIL.

SIS Safety instrumented system – sistema instrumentado de

segurança.

SRS Safety requirements specification – especificação dos requisitos de

segurança.

SU Safe undetected – falha segura não detectada pelo diagnóstico.

SUMÁRIO

CAP. 1 - Introdução ....................................................................................... 13

1.1 - A motivação ........................................................................................... 13

1.2 - A norma IEC 61511:2003 ...................................................................... 15

1.3 - O método de verificação ........................................................................ 15

1.4 - Estrutura do estudo de caso .................................................................. 16

CAP. 2 - Fundamentos Téoricos ................................................................... 17

2.1 - Apresentação da norma IEC 61511:2003.............................................. 17

2.2 - Objetivo da norma IEC 61511:2003 ...................................................... 18

2.3 - Etapas da norma IEC 61511:2003 ........................................................ 20

CAP. 3 - Revisão bibliográfica ....................................................................... 25

CAP. 4 - A Braskem e o projeto da Planta PVC 200 kt/ano ........................... 32

CAP. 5 - O projeto do SIS da Planta PVC Alagoas ....................................... 35

5.1 - Etapa de identificação dos riscos .......................................................... 35

5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 ............ 35

5.2 - Determinação do SIL requerido ............................................................. 35

5.2.1 - Padrão Normativo Braskem ............................................................ 35

5.2.2 - Determinação do SIL requerido ...................................................... 36


5.3 - Especificação de Requisitos de Segurança........................................... 39

5.3.1 - Elaboração do documento SRS ...................................................... 39


5.4 - Detalhamento das funções instrumentadas de segurança .................... 42

5.4.1- Considerações Iniciais ..................................................................... 42

5.4.2 - Detalhamento prático ...................................................................... 43

5.4.3 - Seleção de componentes para o projeto de funções instrumentadas

de segurança ..................................................................................................... 46

5.4.4 - Especificação da arquitetura ........................................................... 47

5.4.5 - Cálculo das funções instrumentadas de segurança ........................ 47

5.4.6 - Resultados dos cálculos das SIF .................................................... 48

5.4.7 - Relatório de verificação das SIF ..................................................... 65


5.5 - Teste de aceitação de fábrica e teste de aceitação de campo do sis .... 65

5.5.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511 .......... 66

5.6 - Validação das funções instrumentadas de segurança .......................... 66


CAP. 6 - Resultados ...................................................................................... 67

6.1 - Fase Avaliação de perigo e risco ........................................................... 67

6.2 - Fase Atribuição das funções de proteção nas camadas de proteção ... 67

6.3 - Especificação dos Requisitos de Segurança do SIS ............................. 68

6.4 - Projeto e engenharia do SIS .................................................................. 68

6.5 - Comissionamento da instalação e validação do SIS ............................. 69

6.6 - Resultado geral do projeto de SIS da Planta de PVC alagoas .............. 70

CAP. 7 - Conclusão ....................................................................................... 71

Glossário

Anexo A – Exemplo de planilha de LOPA do projeto

Anexo B – Exemplo de verificação de SIF

13

CAP. 1 - INTRODUÇÃO

1.1 - A MOTIVAÇÃO

As questões de segurança de processo das instalações industriais se tornaram

mais evidentes com o aumento da preocupação com os aspectos relacionados às

ações que as empresas devem tomar para garantir que suas operações não

exponham um risco para a sociedade.

No caso específico da Braskem, empresa brasileira produtora de químicos

básicos, petroquímicos e combustíveis, estas questões são norteadas pela sua

atuação baseada em valores e princípios expressos em seu Compromisso Público,

divulgado em agosto de 2002. Eles incluem o comprometimento com a excelência

em suas práticas gerenciais e com a moderna governança corporativa, baseado no

desenvolvimento sustentável, na gestão responsável de seus negócios e na

transparência de suas ações, seus processos e indicadores financeiros e sociais.

Para transformar essas crenças em atitudes, assumiu diversos compromissos, os

quais estão expressos em sua política de Qualidade, Saúde, Segurança e Meio

Ambiente. Dentre eles, o compromisso de melhorar continuamente os seus

processos, produtos e serviços, estimulando a inovação e atendendo padrões legais

e voluntários é o que serve de motivador para o desenvolvimento deste trabalho.

Este compromisso está explícito em seu princípio 8 da política de Qualidade, Saúde,

Segurança e Meio Ambiente, onde é dito:

”Gerenciamos todos os riscos das nossas operações. Além dos programas de

prevenção e controle dos riscos, planos de mitigação são adequadamente

implementados. Programas de seguros são adquiridos sempre que existam riscos

de perdas acima das condições de absorção do negócio. Não produzimos,

manuseamos, usamos, vendemos, transportamos ou descartamos um produto a

menos que possamos fazê-lo de forma segura e com impacto mínimo ao meio

ambiente.”

14

Diante deste contexto, a especificação do modo de operação e dos

componentes para funções instrumentadas de segurança necessita ser analisado à

luz de padrões internacionais que apresentem as melhores práticas de engenharia,

sendo hoje o padrão mais utilizado a IEC 61511-1, 2 e 3:2003 - Functional safety -

Safety instrumented systems for the process industry sector. Estas avaliações

apresentam-se extremamente relevantes, conforme é demonstrado pelo histórico de

acidentes industriais, e.g. Three Mile Island (1979), Bhopal (1984), Chernobyl

(1986), Texas City (2005) e mais recentemente no Golfo do México (2010) e

Fukushima (2011). Apesar de algumas investigações ainda não estarem

completamente concluídas, é certo que houve falhas nos sistemas de proteção.

Conforme levantamento realizado pelo Health and Safety Executive (1995),

44% dos acidentes industriais devem-se a erros de especificação. Dentro deste

contexto, incluem-se desde o subdimensionamento do risco até o erro na

especificação da função instrumentada de segurança necessária para prevenir ou

mitigar o risco. Se acrescentarmos os erros provocados no projeto, implementação,

instalação e comissionamento, este percentual sobe para 64%. Estas questões são

citadas diversas vezes na literatura especializada disponível. Os estudiosos

destacam a importância da fase de identificação dos riscos envolvidos nos

processos industriais, assim como explicitam métodos de aplicação das técnicas de

análises de riscos para quantificação do nível de integridade de segurança (SIL)

necessário para mitigar e prevenir os riscos do processo industrial. Outro importante

aspecto que será abordado durante o estudo são as questões relacionadas aos

custos de projeto, as quais muitas vezes erroneamente são tratadas de maneira

superficial e equivocadas. A Figura 1 a seguir demonstra o levantamento da HSE.

15

Figura 1 – Acidentes envolvendo falhas em sistemas de proteção e controle.

Fonte: Health and Safety Executive

Sendo assim, o estudo se justifica na medida da sua contribuição para a

melhoria da aplicação da referida norma em projetos de sistemas instrumentados de

segurança (SIS).

1.2 - A NORMA IEC 61511:2003

Nesta norma internacional são definidos os parâmetros para que seja

estabelecido o nível de integridade de segurança (SIL) para cada função

instrumentada de segurança (SIF), assim como são tratados aspectos relevantes

sobre as especificações de componentes de acordo com as suas taxas de falhas e

sobre normas construtivas para garantir a confiabilidade da função de segurança e

de todo o sistema.

1.3 - O MÉTODO DE VERIFICAÇÃO

Neste estudo de caso é analisado e avaliado qualitativamente como a Braskem

S.A. utilizou o ciclo de vida de segurança estabelecido pela norma IEC 61511:2003

para projetar o sistema instrumentado de segurança (SIS) da nova planta de PVC

em Alagoas.

O estudo será iniciado com o levantamento de dados a partir do acesso a

documentação emitida pelo projeto, a saber:

• Relatório de análise de risco com as diversas técnicas explicitadas;

16

• Especificação de requisitos de segurança (este documento traz todas as

informações necessárias para a especificação das funções

instrumentadas de segurança);

• Memória de cálculo das funções instrumentadas de segurança (este

documento explicita como as funções instrumentadas de segurança

foram projetadas e demonstra os cálculos utilizados).

A documentação do projeto será então confrontada com as várias etapas do

ciclo de vida de segurança estabelecido pela norma IEC 61511:2003, onde será

avaliada qualitativamente sua aderência aos requerimentos dispostos.

1.4 - ESTRUTURA DO ESTUDO DE CASO

No capítulo 2 é apresentado o fundamento teórico deste trabalho, ou seja, a

norma IEC 61511:2003, seus requerimentos e suas etapas detalhadas. O envelope

deste estudo de caso é demonstrado frente a todos os requerimentos da norma.

No capítulo 3 é mostrada a revisão bibliográfica, onde são apontados os vários

estudos realizados para o desenvolvimento do trabalho, com suas devidas citações

pertinentes.

No capítulo 4 é apresentado um breve resumo do projeto da planta de PVC da

Braskem em Alagoas.

No capítulo 5 são apresentadas as entregas do projeto e sua relação com os

aspectos da norma de referência.

No capítulo 6 são apresentados os resultados da verificação da aderência das

entregas do projeto com os aspectos da norma de referência.

No capítulo 7 é apresentada a conclusão do estudo com suas recomendações.

Após este capítulo, são apresentados as referências bibliográficas e os anexos.

17

CAP. 2 - FUNDAMENTOS TEÓRICOS

2.1 - APRESENTAÇÃO DA NORMA IEC 61511:2003

Os sistemas instrumentados de segurança têm sido utilizados há vários anos

para realizar funções instrumentadas de segurança nas indústrias de processo. Se

alguma instrumentação for efetivamente utilizada para desempenhar funções

instrumentadas de segurança, é essencial que esta instrumentação apresente

determinados padrões e níveis de desempenho mínimos.

Para o desenvolvimento da especificação dos sistemas instrumentados de

segurança também é necessária a avaliação de risco e perigos do processo. Outros

sistemas de segurança são considerados apenas quando influenciam nos requisitos

de desempenho dos sistemas instrumentados de segurança. Adicionalmente, a

mesma contém dois conceitos que são fundamentais para a sua aplicação: o ciclo

de vida da segurança e o nível de integridade de segurança.

O sistema de instrumentado de segurança inclui todos os componentes e

subsistemas necessários para executar a função instrumentada de segurança,

desde os sensores até os elementos finais. A norma se aplica a sistemas

instrumentados de segurança baseados no uso de tecnologia elétrica, eletrônica e

eletrônica programável, assim como também se aplica a sensores e elementos finais

de sistemas instrumentados de segurança independentemente da tecnologia

utilizada.

A norma é específica para a indústria de processo dentro da estrutura criada

pela norma IEC 61508 e estabelece uma abordagem para as atividades do ciclo de

vida da segurança de maneira a atingir padrões mínimos.

Para facilitar esta abordagem, a norma IEC 61511:2003:

• requer que a avaliação de riscos e perigos identifique os requisitos de

segurança como um todo;

• requer a atribuição de requisitos de segurança aos sistemas instrumentados

de segurança;

• detalha atividades específicas, tais como o gerenciamento da segurança, que

sejam aplicáveis à obtenção da segurança funcional.

18

Resumindo, esta norma de sistemas instrumentados de segurança aplicada à

indústria de processo aborda todas as fases do ciclo de vida de segurança, desde a

concepção inicial, projeto, implementação, operação e manutenção até a

desativação.

2.2 - OBJETIVO DA NORMA IEC 61511:2003

Esta norma foi desenvolvida para facilitar a implementação da norma IEC

61508 para o setor de processo e tem o propósito de elevar o nível de consistência

dentro da indústria de processo (por exemplo, pelos princípios que a norteiam,

terminologia, informação) e com isto proporcionar benefícios de segurança e

econômicos. Também fornece os requisitos para especificação, projeto, instalação,

operação e manutenção de um sistema instrumentado de segurança de modo que

seja confiavelmente garantido que este sistema coloque e/ou mantenha o processo

em um estado seguro.

Esta norma, em particular:

a) especifica os requisitos para se atingir a segurança funcional, mas não

especifica quem é responsável por implementar os requisitos (por exemplo,

engenharia, fornecedores, companhia operadora/proprietária, empreiteira). A

responsabilidade deve ser atribuída a diferentes entidades de acordo com o

planejamento de segurança e com a regulamentação nacional;

b) aplica-se a uma ampla variedade de indústrias no setor de processo,

incluindo indústria química, refino de petróleo, produção de óleo e gás, papel

e celulose, geração de energia não-nuclear;

c) delineia a relação entre funções instrumentadas de segurança e outras

funções;

d) resulta na identificação dos requisitos funcionais e requisitos de integridade

de segurança da(s) função (ões) instrumentada(s) de segurança levando em

consideração a redução de risco obtida por outros meios;

e) especifica os requisitos para arquitetura do sistema e configuração de

hardware, software e integração do sistema;

f) pode ser aplicada a aplicações não voltadas à segurança, como proteção de

ativos;

19

g) usa o ciclo de vida de segurança e define uma lista de atividades que são

necessárias para se determinar os requisitos funcionais e os requisitos de

integridade de segurança para o sistema instrumentado de segurança;

h) requer que seja realizada a avaliação de riscos e perigos para que se possa

definir os requisitos funcionais de segurança e níveis de integridade de

segurança para cada função instrumentada de segurança;

i) estabelece objetivos numéricos para a probabilidade média de falha sob

demanda e frequência de falhas perigosas por hora para os níveis de

integridade de segurança;

j) especifica requisitos mínimos para tolerância a falha do hardware;

k) especifica técnicas e medidas exigidas para se atingir níveis de integridade

especificados;

l) define um nível máximo de desempenho (SIL 4) que pode ser atingido por

uma função instrumentada de segurança que foi implementada segundo a

norma;

m) define um nível mínimo de desempenho (SIL 1) abaixo do qual esta norma

não se aplica;

n) fornece uma estrutura para estabelecer níveis de integridade de segurança,

mas não determina o nível de integridade de segurança que uma aplicação

específica deve ter, o qual deve ser estabelecido com base no conhecimento

da aplicação particular;

o) especifica requisitos para todas as partes do sistema instrumentado de

segurança, desde o(s) sensor (es) até o(s) elemento(s) final (ais);

p) define a informação que é necessária durante o ciclo de vida de segurança.

Para cada função instrumentada de segurança operando no modo de

demanda, o SIL requerido deve ser especificado de acordo com a Tabela 1

20

Tabela 1 – Nível de integridade de segurança: probabilidade de falha na

demanda.

MODO DE DEMANDA DE OPERAÇÃO

Nível de integridade de segurança (SIL)

Objetivo médio de probabilidade de falha na

demanda

Objetivo de redução de risco

4 ≥10-5 a <10-4 >10,000 a ≤100,000

3 ≥10-4 a <10-3 >1000 a ≤10,000

2 ≥10-3 a <10-2 >100 a ≤1000

1 ≥10-2 a <10-1 >10 a ≤100

Fonte: IEC 61511:2003.

2.3 - ETAPAS DA NORMA IEC 61511:2003

Cada fase do ciclo de vida de segurança deve ser definida em termos de suas

entradas, saídas e atividades de verificação, conforme demonstrado na Tabela 2 e

na figura 2 a seguir.

Tabela 2 – Visão geral do ciclo de vida de segurança do SIS.

Atividade ou fase do ciclo de vida de

segurança

Objetivos

Requisitos

Cláusula ou subcláusula

da

IEC 61511

Entradas

Saídas

Número da caixa

da Figura 1

Título

1 Avaliação de perigo e risco

Determinar os perigos e eventos perigosos do processo e dos equipamentos associados, a sequência dos acontecimentos que levaram a eventos perigosos, os riscos de processos associados com o evento perigoso, os requisitos para a redução de risco e as funções de segurança necessárias para atingir a redução de risco necessária

8 Projeto do Processo,

layout, disposições gerais,

objetivos de segurança

Descrição dos perigos, as funções de segurança requeridas e a redução de risco associada.

21

2 Atribuição das funções de proteção nas camadas de proteção

Atribuição das funções de proteção nas camadas de proteção e o nível de integridade de segurança associado a cada função instrumentada de segurança.

9 Uma descrição da função instrumentada de segurança requerida e seus requisitos integridade de segurança associados.

Descrição da atribuição dos requisitos de segurança (ver Cláusula 9)

3 Especifica- ção dos Requisitos de Segurança do SIS

Especificar os requisitos para cada SIS, em termos das funções instrumentadas de segurança e suas integridades de segurança associadas, para atingir a segurança funcional necessária

10 Descrição da atribuição dos requisitos de segurança (ver cláusula 9)

Requisitos de segurança do SIS; requisitos de segurança de software

4 Projeto e engenharia do SIS

Projetar o SIS para satisfazer os requisitos das funções instrumentadas de segurança e da integridade de segurança

11 e 12.4 Requisitos de segurança do SIS; requisitos de segurança de software

Projeto do SIS de acordo com os requisitos de segurança do SIS; planejamento para teste de integração do SIS

5 Comissio-namento da instalação e validação do SIS

Integrar e testar o SIS

Validar que o SIS atende em todos os aspectos os requisitos para segurança nos termos das funções instrumentadas de segurança requeridas e da integridade de segurança

12.3, 14, 15 Projeto do SIS

Plano de teste de integração do SIS

Requisitos de segurança do SIS

Plano pra validação de segurança do SIS

Funcionamento completo do SIS de acordo com o projeto do SIS

Resultados dos testes de integração do SIS

Resultados da instalação, comissionamento e atividades da validação

22

6 Operação e manutenção do SIS

Garantir que a segurança funcional do SIS é mantida durante a operação e manutenção

16 Requisitos do SIS

Projeto do SIS

Plano para operação e manutenção do SIS

Resultados das atividades de operação e manutenção

7 Modificação do SIS

Realizar correções, melhorias ou adaptações do SIS, garantindo que o nível de integridade de segurança exigido seja alcançado e mantido

17 Requisitos de segurança do SIS revisados

Resultados da modificação do SIS

8 Desativação

Garantir revisão adequada, organização do setor, e garantir que a FIS continue apropriada

18 Requisitos de segurança conforme construído e informação do processo

SIF retirada de serviço

9 Verificação do SIS

Testar e avaliar os resultados de uma determinada fase para garantir a exatidão e consistência no que diz respeito aos produtos e padrões fornecidos como entrada para esta fase

7, 12.7 Plano de verificação do SIS para cada fase

Resultados da verificação do SIS para cada fase

10 Auditoria de segurança funcional do SIS

Investigar e obter um julgamento sobre a segurança funcional alcançada pelo SIS

5 Planejamento para auditoria de segurança funcional do SIS

Requisitos de segurança do SIS

Resultados da auditoria de segurança funcional do SIS

Fonte: IEC 61511:2003.

23

Figura 2 - Fases do ciclo de vida de segurança do SIS e estágios de avaliação

funcional de segurança.

Fonte: IEC 61511:2003.

As fases do ciclo de vida de segurança da IEC 61511:2003 que serão

analisadas neste estudo de caso são:

1 - Avaliação de perigo e risco.

2 - Atribuição das funções de proteção nas camadas de proteção.

3 - Especificação dos Requisitos de Segurança do SIS.

4 - Projeto e engenharia do SIS.

5 -Comissionamento da instalação e validação do SIS.

24

As demais etapas do ciclo de vida de segurança que não foram avaliadas

fazem parte das fases pós-projeto do SIS, i.e. operação e manutenção. Outras

etapas tratam da avaliação histórica do SIS, validando se cada SIF consegue atingir

o objetivo de mitigação e prevenção dos riscos a quais estão associadas.

25

CAP. 3 - REVISÃO BIBLIOGRÁFICA

Além da norma de referência, existe disponível uma ampla literatura

especializada elaborada por profissionais reconhecidos no meio de segurança de

processo. Dentre a literatura abundante sobre o assunto, citamos 3 livros de

referência que obrigatoriamente tem que ser estudados pelos interessados no

assunto. São eles:

Goble e Cheddie (2005) explica claramente como utilizar cálculos

probabilísticos para realizar a verificação de SIL para sistemas de segurança.

Começando com uma descrição do ciclo de vida de segurança, os autores mostram

onde e como a verificação de SIL se encaixa nas principais atividades do projeto

conceitual até o comissionamento.

Grunh e Cheddie (2006) ensina a prática de como realizar análises, projeto,

aplicação e instalação de SIS. Este autor recomenda sua utilização por engenheiros

de sistemas de controle nas indústrias de processo, que são responsáveis pelo

projeto, instalação e manutenção de sistemas instrumentados de segurança.

CCPS (2001) fala do método simplificado de avaliação de riscos de segurança

de processo por meio da análise de camadas de proteção (LOPA), a qual fornece

um meio termo entre a análise qualitativa tradicional e a geralmente dispendiosa

análise de risco quantitativa. Também fornece uma excelente abordagem para

determinar o nível de integridade de segurança necessário para um SIS, conforme

preconizada pela IEC 61511:2003.

Além destes 3 livros de referência também foram avaliados diversos artigos

técnicos disponíveis, onde foram levantadas algumas considerações interessantes.

26

Summers (2006) exemplifica que muitas empresas já têm aplicado o processo

da IEC 61511 para outros sistemas instrumentados com benefício econômico

significativo, especialmente quando aplicado a sistemas de proteção de ativos.

Sistemas de gerenciamento de proteção fazem sentido como boas práticas de

engenharia, porque eles são a forma mais eficaz de conseguir resultados previsíveis

e consistentes para a unidade de processo. Um sistema de gestão efetivo utiliza

uma abordagem sistemática para gerenciar o ciclo de vida inteiro da camada de

proteção. A maioria das empresas tem políticas e procedimentos já existentes para

muitas das fases do ciclo de vida. A finalidade do sistema global consiste em

amarrar todos essas políticas e procedimentos em um programa abrangente que

agiliza os processos e elimina a duplicação de esforço.

Summers (2009) informa que os líderes do setor reconhecem que o

investimento em recursos e equipamentos de segurança para evitar incidentes de

processo é essencial para se atingir um menor custo do ciclo de vida. Sem cuidados

e atenção, invariavelmente incidentes acontecem quando as condições erradas

ocorrem no momento errado. Todos os envolvidos devem perceber que a gestão de

risco de segurança é uma parte inerente do processo de concepção e operação e

que a demonstração de operação segura deve ser necessária para a licença

operacional.

Timms (2003) lembra que a interpretação prática da norma tem sido percebida

como difícil. Mas, com a orientação e formação adequadas, os engenheiros logo se

tornam confortáveis com a metodologia e o conceito de ciclo de vida simplesmente

passam a equivaler ao senso comum.

27

Rouvroye e Brombacher (1999) concluem de resultados de cálculos que

técnicas de análise de confiabilidade diferentes podem conduzir a SIL diferentes,

mesmo quando se usa o mesmo conjunto de dados. O valor mais baixo para a

probabilidade de falha por demanda para modelos de Markov é dá-se pelo fato de

que, em geral, em um modelo de Markov todos os estados do sistema (incluindo os

chamados estados seguros) são levados em consideração. Isto significa que haverá

uma certa probabilidade de que o sistema está em um estado de segurança e,

assim, não pode estar em um estado perigoso. Isso resulta em uma menor

contribuição para a probabilidade de falha em demanda. Este aspecto não pode ser

coberto pela maioria das outras técnicas de análise, porque estas técnicas só podem

lidar com um modo de falha do sistema de cada vez.

Guo e Yang (2007) defende que o método de diagrama de blocos de

confiabilidade (RBD) pode ser aplicado para a verificação quantitativa de SIL,

enfatizando que modelos RBD são intuitivos e fáceis de criar, semelhante ao método

avaliado pela IEC 61508-6. Neste artigo em particular não concordamos com os

autores, lembrando que os métodos quantitativos propostos pela IEC 61511, i.e.

modelos Markov, determinam resultados mais robustos e confiáveis. Langeron

(2008) mostra que o método baseado em ambas as regras de mesclagem em séries

e paralelas sugerida pelo padrão IEC 61508:2010 é realmente fácil de aplicar, mas

ainda não se encontram com uma abordagem robusta. Os valores esperados de SIL

padrão são, em alguns casos, maiores do que os resultados obtidos a partir do

método Markov.

28

Green e Dowell (2005) reforçam que redundância pode fornecer proteção

contra falhas ocultas ou fornecer tolerância a falhas para as falhas reveladas. Falhas

de causa comum (CCF) podem ser provocadas por um componente não-redundante

único ou por erros sistemáticos em componentes redundantes. Cita os métodos

existentes que podem ser utilizados para a análise quantitativa de uma emergência

ou a probabilidade de sucesso ou fracasso do SIS. Análise de árvore de falhas

(FTA), análise de árvore de eventos (ETA), diagrama de bloco de confiabilidade

(RBD), modelos de markov, tempo morto fracionário (FDT) e simulação de Monte

Carlo, por exemplo, podem ser usados para estimar a probabilidade de falha de um

SIS para executar sua função de proteção em face de uma demanda. Reforça o

aspecto que a lógica é de diversas ordens de magnitude mais confiável do que os

elementos de campo. Conclui que os elementos de campo determinam a

confiabilidade do sistema, e não o agente de resolução da lógica ou a tecnologia do

logic solver. Explica que aumentar a redundância do sistema aumenta a integridade

do sistema, mas CCF limitam de forma significativa a redução da probabilidade de

falha além de SIL 2. Conclui que aumentando a diversidade reduz-se o CCF e

permite maior confiabilidade do sistema do que seria possível com redundância

idêntica. Summers e Raney (1999) aponta que, infelizmente, há uma grande

discordância entre os especialistas sobre como definir CCF e que eventos

específicos compreendem um CCF. Cita como exemplos de causas de falhas

comuns: erro de calibração ou nenhuma calibração dos sensores, entupimento de

tomadas de processo comuns, manutenção incorreta ou nenhuma manutenção, by-

pass indevido, estresse ambiental sobre o dispositivo de campo, fluido do processo

ou contaminantes bloqueando válvulas.

29

Gruhn (1998) defende a utilização de partial stroke test (PST) em SIS, citando

que as outras opções são a parada da planta em uma base não regular para testar

as válvulas ou conceber o sistema de tal modo que não seja necessário parar a

planta a fim de testar as válvulas. A primeira opção, embora possível, não é

simplesmente viável para unidades de produtos de petroquímicos em grande escala,

onde os problemas econômicos inerentes de uma parada de tais plantas são

proibitivos. A outra opção então seria instalar válvulas redundantes, as quais podem

aumentar a ordem de magnitude da segurança, sendo esta a opção tradicionalmente

realizada em aplicações com válvulas de alto risco. A desvantagem óbvia, no

entanto, é o custo. Não só o custo de capital para as válvulas dobra, mas o trabalho

de manutenção de teste aumenta, visto que que existem agora duas vezes mais

válvulas que precisam ser testadas periodicamente. Lundteigen e Rausand (2008)

tratam do aumento da confiabilidade que é adquirida através da introdução de PST,

o qual pode ser utilizado para melhorar a segurança e/ou para reduzir o custo. A

segurança é melhorada se o PST é adicionado sem alterar o intervalo entre os

testes periódicos funcionais. O custo é reduzido se a confiabilidade obtida é

prolongada o intervalo de teste funcional.

Hokstad e Corneliussen (2004) explicam muito bem as diferenças entre falhas

randômicas e falhas sistemáticas e chama a atenção para a utilização de fatores

beta diferentes para arquiteturas diferentes. Lembra que na IEC 61508, o parâmetro

PFD é usado para quantificar a perda de segurança devido a falhas randômicas. O

fator beta padrão, como sugerido na IEC 61508, não permite uma comparação

adequada somente ao dizer que diferentes votações 1oo2, 1oo3 ou 2oo3 são

utilizadas. Defende que este modelo normalmente não deve ser aplicado, a menos

que uma análise mais rigorosa seja realizada.

30

Jin, Lundteigen e Rausand (2011) mostram que as características de

confiabilidade de um SIS de alta demanda e um SIS de baixa demanda são

diferentes. O artigo conclui que sistemas de baixa demanda são homogêneos e

podem ser tratados como um grupo separado. O mesmo se aplica para sistemas de

alta demanda. No entanto, não há distinção clara entre os dois grupos e existe um

grupo significativo que pode ser classificado como sistemas de média demanda.

Explora o fato de que quando existem vários componentes de segurança ou muitos

estados em um SIS muito grande (com grande quantidade de pontos e cenários), a

abordagem de Markov pode levar a cálculos intratáveis. Neste caso, recomenda que

uma abordagem de rede de Petri pode ser uma alternativa melhor, a qual também

deverá será indicada na próxima revisão da norma IEC 61508. Em artigo posterior,

Liu e Rausand (2011) discute uma série de questões importantes relacionadas com

o desempenho de confiabilidade da modelagem de quantificação do SIS, tanto para

baixa demanda quanto para alta demanda. Questões como a duração da demanda e

verificação de funcionalidade testes funcionais, respostas bem sucedidas a

demandas e ativação espúrias são destacados. A fronteira entre baixa demanda e

alta demanda do modo de operação também é discutida.

Em Lundteigen e Rausand (2008) cita-se que operação e manutenção de

procedimentos, ferramentas e processos de trabalho, procedimentos de concepção,

implementação e instalação, competência e treinamento, e exposição ambiental

podem influenciar a probabilidade de falhas sistemática. Lembra que há outras

causas para paradas espúrias, e.g. a perda de serviços públicos de hidráulica,

pneumática ou energia. A perda de utilidades também pode levar diretamente a

paradas espúrias se a SIF é projetada para falhas seguras (que é a situação típica

em instalações de petroléo e gás).

31

Lundteigen e Rausand (2009) considera que a fração de falha segura (SFF)

não é um indicador suficiente das propriedades de confiabilidade de um componente

do SIS. Dois componentes com a mesma SFF podem ter características bastante

diferentes no que diz respeito à taxa de operações espúrias, taxa de falhas

perigosas e cobertura de diagnóstico. Uma SFF alta nem sempre indica um

componente seguro, da mesma forma que um SFF baixo nem sempre é sinônimo de

um componente inseguro. Uma SFF pode dar crédito para projetos inseguros, bem

como punir projetos com a segurança adequada. Como um acréscimo às restrições

de arquitetura, acredita que mais atenção deve ser dada para a construção de

modelos de funcionalidade, e de sistemas e análises funcionais nas quais os

modelos se baseiam. Com recursos mais complexos dos componentes do SIS é

importante para a análise o funcionamento de cada componente, em vez de se

assumir previamente um certo comportamento, e também levar em conta todas suas

interações.

32

CAP. 4 - A BRASKEM E O PROJETO DA PLANTA PVC 200

KT/ANO

Formada em 2002 a partir da fusão de seis empresas brasileiras, a Braskem

possui uma trajetória crescente no setor químico e petroquímico. Por meio de seus

escritórios nas Américas, Europa e Ásia, a Braskem atua em parceria com clientes

em mais de 70 países do mundo, firmando-se como um importante player global no

mercado de resinas termoplásticas (polipropileno, polietileno e PVC) e produtos

químicos. Ao todo, são 16 milhões de toneladas de produtos fabricados em 35

unidades industriais instaladas no Brasil, nos Estados Unidos e na Alemanha. A

filosofia da Braskem é desenvolver parcerias de sucesso e agregar valor e

competitividade ao negócio do cliente, por meio de um atendimento personalizado e

da oferta de produtos com qualidade certificada, além de serviços como assistência

técnica pré e pós-venda, logística diferenciada e estrutura para testes e

desenvolvimentos de produtos específicos.

A Braskem iniciou o projeto de construção das unidades de MVC/PVC de 200

kt/ano visando atender às demandas do mercado nacional e internacional. As

unidades localizam-se no pólo multifabril José Aprígio Brandão Vilela em Marechal

Deodoro – Alagoas. Com esta nova planta, Alagoas passou a ser o maior produtor

de PVC das Américas. A fábrica representa o maior investimento da Braskem no

país, em torno de R$ 1bilhão.

A resina de PVC é matéria-prima utilizada principalmente em obras de

saneamento e infraestrutura como tubos, conexões, portas, janelas, esquadrias e

telhas, entre outros produtos. A resina também está presente em brinquedos,

calçados, móveis, produtos médicos, na indústria automobilística e na alimentícia.

A nova planta consiste de uma unidade de MVC e outra de PVC, e tem

capacidade produtiva de 200 mil toneladas anuais, tornando Alagoas o maior

produtor de PVC da América Latina e contribuindo para o fortalecimento do pólo de

transformação dessa resina já existente no estado. A figura 3 mostra parcialmente a

nova planta de PVC em Alagoas.

33

Figura 3 – Nova planta Braskem de PVC.

A tecnologia empregada foi adquirida da Ineos, envolvendo processos de

oxicloração do eteno, purificação, craqueamento, polimerização e recuperação do

MVC, secagem, silagem e ensacamento do PVC.

A Ineos é uma empresa privada química multinacional com sede em Rolle,

Suíça. É a terceira maior empresa de produtos químicos do mundo e a maior

empresa privada do Reino Unido.

A empresa de engenharia Genpro foi contratada para executar o projeto de

detalhamento. Neste projeto foram utilizadas diversas técnicas avançadas de

projetos, entre elas sua elaboração em maquetes 3D, conforme demonstrado na

figura 4.

34

Figura 4 – Maquete da planta de PVC.

35

CAP. 5 - O PROJETO DO SIS DA PLANTA PVC ALAGOAS

5.1 - ETAPA DE IDENTIFICAÇÃO DOS RISCOS

Na etapa do projeto conceitual e durante o projeto básico, foi realizado o

Estudo de Perigos e Operabilidade (Hazop) para avaliar os riscos do processo. A

técnica denominada Hazop visa identificar os perigos e os problemas de

operabilidade de uma instalação de processo. Este método é baseado em um

procedimento que gera perguntas de maneira estruturada e sistemática através do

uso apropriado de um conjunto de palavras-guia. O principal objetivo de um Hazop é

investigar de forma minuciosa e metódica cada segmento de um processo, visando

descobrir todos os possíveis desvios das condições normais de operação,

identificando as causas responsáveis por tais desvios e as respectivas

consequências. Uma vez verificadas as causas e as consequências de cada tipo de

desvio, o método procura propor medidas para eliminar ou controlar o perigo ou

ainda para sanar o problema de operabilidade da instalação.

O estudo de Hazop foi realizado pela equipe de processo Braskem em conjunto

com a empresa detentora da tecnologia Ineos, utilizando os critérios de

aceitabilidade dispostos na norma Braskem PR-0603-00021 - Análise e

Gerenciamento de Impactos e Riscos de Processos e Serviços.

5.1.1 - Relação com o Ciclo de Vida de Segurança da IEC 61511

Esta etapa da identificação de riscos está relacionada com a Clause 8 Process

Hazard and Risk Assessment como parte integrante da documentação

comprobatória do Safety life-cycle structure and planning.

5.2 - DETERMINAÇÃO DO SIL REQUERIDO

Nesta etapa, além das equipes de processo, instrumentação e automação da

Braskem, utilizou-se o apoio técnico das empresas DNV (Det Norske Veritas) e

exida.

5.2.1 - Padrão Normativo Braskem

A norma Braskem PR-0603-00021 - Análise e Gerenciamento de Impactos e

Riscos de Processos e Serviços prevê 2 métodos de análise que podem ser usados

para determinação de SIL. São eles:

36

Análise de Camadas de Proteção (LOPA), conforme previsto no Anexo F da

IEC 61511-3; e Gráfico de Risco Calibrado, conforme previsto no Anexo D da IEC

61511-3.

5.2.2 - Determinação do SIL requerido

Após definidos os intertravamentos, realizou-se as análises de risco

complementares para definição do nível de integridade de segurança (SIL) requerido

para cada intertravamento. Ambos os métodos foram utilizados: análise de camadas

de proteção (layer of protection analysis – LOPA) e o gráfico de risco calibrado. Foi

utilizado o software ORBIT SIL, desenvolvido pela DNV Energy Solutions, quando da

aplicação do gráfico de risco calibrado.

A aplicação do gráfico de risco calibrado pelo grupo de trabalho teve como

ponto inicial a definição dos EUCs (Equipment Under Control), ou seja, os

equipamentos aos quais estão associadas às funções instrumentadas de segurança

(SIF) nos trechos inicialmente propostos.

De acordo com a premissa adotada, foi também objetivo deste estudo a análise

de LOPA (Layer of Protection Analysis) para a definição do SIL das SIF, quando esta

metodologia seja a melhor aplicação a ser feita. A análise de LOPA é feita através

da quantificação da frequência de ocorrência e da probabilidade de atuação de

todas as camadas de proteção identificadas no sistema. Entre os objetivos principais

para a utilização do LOPA está a possibilidade de responder a questões relativas ao

número e eficiência das salvaguardas existentes, através de uma abordagem

sistemática. Questões de subjetividade de classificação de cenários a que as

técnicas qualitativas estão sujeitas são minimizadas nesta técnica.

37

Figura 5 – Distribuição das malhas de intertravamento por nível de proteção

requerido.

Os critérios e metodologia utilizados neste estudo seguiram o Anexo 9 (Nível de

Integridade de Segurança (SIL)) e o Anexo 10 (Análise de Camadas de Proteção

(LOPA)) do PR-0603-00021 (Análise e Gerenciamento de Impactos e Riscos de

Processos e Serviços). As reuniões ocorreram nas instalações da Braskem com a

participação de profissionais da DNV e BRASKEM. As malhas de intertravamentos

que atingiram ao menos SIL 1 foram nomeadas funções instrumentadas de

segurança e seu projeto definido através dos requisitos da IEC 61511:2003.

As SIF definidas com o SIL requerido para o projeto estão descritas na Tabela

3.

Tabela 3 – Funções instrumentadas de segurança do projeto PVC Alagoas.

Tag SIF Serviço SIL requerido

SIF-31-001 Pressão Muito Alta no D-103 1

SIF-31-002 Vazão Muito Baixa de recirculação na P-253A/B. 2

SIF-31-003 Temperatura Muito Alta na linha de fundo da Torre T-253 1

SIF-32-001 Proteção contra mistura explosiva alimentação para F-3201 1

SIF-32-002 Pressão Muito Baixa na alimentação da fornalha D-201 2

SIF-32-003 Vazão Muito Baixa do 1o passo da alimentação da fornalha D-201 2

SIF-32-004 Vazão Muito Baixa do 2o passo da alimentação da fornalha D-201 2

SIF-32-005 Temperatura Muito Alta na linha de saída da fornalha F-201 1

SIF-32-006 Pressão Muito Alta na descarga da B-3244 1

38

SIF-33-001 Proteção contra falta de HC 1

SIF-33-002 Proteção para parada segura falha do PLC C-301 2

SIF-33-003 Proteção contra mistura explosiva R-301 e R-302 3

SIF-33-004 Proteção contra fluxo reverso de etileno para a linha de oxigênio 2

SIF-33-005 Proteção contra mistura explosiva sistema de oxicloração 2

SIF-33-006 Proteção contra Temperatura muito alta nos Reatores R-301 1

SIF-33-007 Proteção contra Temperatura muito alta nos Reatores R-302 1

SIF-33-008 Proteção contra falta de N2 para purga nos MX301 e MX302 1

SIF-33-009 Proteção em caso de purga ineficiente parada do C-301 1

SIF-33-010 Retorno de HCl e Etileno para a linha de O2 1



SIF-33-013 Pressão Muito Alta no T-304 ou D-304 1

SIF-33-014 Nível Muito Baixo na T-305 1

SIF-41-001 Proteção contra Pressão Muito Alta no Vaso de Blow Down 1



SIF-41-004 Proteção contra Vazamento de MVC/PVC do Reator R-4101A 2

SIF-41-005 Proteção contra Vazamento de MVC/PVC do Reator R-4101B 2

SIF-41-006 Proteção contra Vazamento de MVC/PVC do Reator R-4101C 1

SIF-41-007 Proteção contra liberação de MVC para a atmosfera 1

SIF-41-008 Proteção contra entrada de oxigênio para os compressores 1

SIF-41-009 Proteção contra liberação de PVC (lama) e MVC 2

SIF-41-010 Parada do agitador R301A 2

SIF-41-011 Parada do agitador R301B 2

SIF-41-012 Parada do agitador R301C 2

SIF-41-013 Falha do Sistema Primário de Inibição R301A 2

SIF-41-014 Falha do Sistema Primário de Inibição R301B 2

39

SIF-41-015 Falha do Sistema Primário de Inibição R301C 2

SIF-41-016 Pressão muito alta no Reator R301A 2

SIF-41-017 Pressão muito alta no Reator R301B 2

SIF-41-018 Pressão muito alta no Reator R301C 2

SIF-41-019 Temperatura muito alta no Reator R301A 2

SIF-41-020 Temperatura muito alta no Reator R301B 2

SIF-41-021 Temperatura muito alta no Reator R301C 1

SIF-42-001 Temperatura alta na descarga da bomba P402A 1

SIF-42-002 Temperatura alta na descarga da bomba P410A 1

SIF-42-003 Nível muito alto no V405 1

SIF-42-004 Concentração de oxigênio na alimentação de MVC gás para E403 1


Esta etapa da determinação do SIL está relacionada com a Clause 9 Allocation

of safety functions to protection layers como parte integrante da documentação


5.3 - ESPECIFICAÇÃO DE REQUISITOS DE SEGURANÇA

Os requisitos de segurança devem derivar da alocação das funções

instrumentadas de segurança. Tais requisitos do SIS devem ser expressos e

estruturados de maneira que sejam:

• claros, precisos, auditáveis, mantidos e factíveis; e

• escritos de maneira a ajudar a compreensão daqueles que são prováveis

de utilizar a informação em qualquer fase do ciclo de vida.

5.3.1 - Elaboração do documento SRS

Com as determinações de SIL estabelecidas pela equipe de processo

participantes do projeto e o relatório conclusivo emitido, a etapa de elaboração da

especificação dos requisitos de segurança pôde ser iniciada. Para este projeto foi

contratada a consultoria da empresa exida para elaboração do documento.

40

Na Braskem, a emissão deste documento para os projetos é de

responsabilidade da disciplina de Automação. Este fato deve-se às diversas

informações relevantes que necessitam ser verificadas para que o projeto de

automação esteja consistente com o requerido pelo processo. Paralelamente, o

projeto de automação começa a ser desenvolvido para atender os mesmos

requisitos. É importante que as equipes de produção e manutenção da planta

também ratifiquem alguns parâmetros importantes para os cálculos, tais como tempo

de partida, intervalo entre testes funcionais e MTTR para os componentes das SIF.

As seguintes informações foram inseridas e tabuladas para gerar a

especificação das funções instrumentadas de segurança:

1) Tag de engenharia;

2) Tag do relatório;

3) Tag do sistema;

4) P&ID relacionado;

5) Datasheets do processo;

6) Descrição da SIF;

7) Definição do estado seguro do processo;

8) Risco potencial de processo;

9) Causa comum de falha do processo;

10) Requisitos de regulamentação;

11) SIL requerido;

12) Tempo de campanha;

13) Tempo de partida após trip;

14) Tempo de resposta da SIF;

15) Taxa de demanda esperada;

16) Intervalo de testes funcionais;

17) Requisitos de teste de manutenção para alcançar o SIL necessário;

18) Requisitos de confiabilidade para trips espúrios;

19) Arquitetura que atende ao SIL;

20) Evento iniciador;

21) Range e set de trip;

22) Barreira de segurança intrínseca;

23) Elemento de comparação;

41

24) Local do elemento comparação;

25) Tolerância da comparação;

26) Ação da comparação;

27) Diagnose elemento inicial;

28) Modo de falha de todos os sensores e transmissores;

29) Ação da diagnose;

30) MTTR dos elementos iniciadores;

31) MTTR dos elementos lógicos;

32) MTTR dos elementos finais;

33) Diagrama de causa e efeito;

34) Documento do diagrama lógico;

35) Folha do diagrama lógico;

36) Trip manual;

37) Tag trip manual;

38) Ação de by-pass;

39) Tipo de override de partida;

40) HS override;

41) Tipo de reset;

42) HS reset;

43) Solenóides;

44) Ação;

45) Elemento Final;

46) Modo de falha do elemento final;

47) Ação a ser tomada em falta de energia; e

48) Requisitos para IHM.


Esta etapa da especificação de requisitos de segurança para as funções

instrumentadas de segurança está relacionada com as Clauses 10 SIS Safety

requirements specification e 12 Requirements for application software, including

selection criteria for utility software como parte integrante da documentação


42

5.4 - DETALHAMENTO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA

O projeto do SIS deve estar de acordo com as especificações dos requisitos de

segurança do SIS. A probabilidade de falha na demanda média de cada função

instrumentada de segurança deve ser igual, ou inferior, ao objetivo de falha

especificado conforme as especificações dos requisitos de segurança. Esta

probabilidade obrigatoriamente deve ser verificada por cálculos de confiabilidade.

Tendo sido estabelecido pelas etapas anteriores que o SIS irá operar em modo

de baixa demanda, o projeto deve então calcular para que a probabilidade média de

falha na demanda de cada função instrumentada de segurança seja igual, ou

inferior, ao objetivo de SIL requerido. A capabilidade dos componentes em relação à

IEC 61508 também deve ser avaliada: componentes e subsistemas selecionados

para uso como parte de um sistema instrumentado de segurança para aplicações de

SIL 1 até SIL 3 devem estar de acordo com a IEC 61508, assim como devem

atender a requisitos mínimos de tolerâncias a falhas de hardware (HFT). Tolerância

a falha de hardware é a habilidade de um componente ou subsistema de continuar a

ser capaz de empreender a função instrumentada de segurança exigida na presença

de uma ou mais falhas perigosas de hardware. Uma tolerância a falhas de hardware

de 1 significa que há, por exemplo, dois dispositivos e a arquitetura é tal que a falha

perigosa de um dos dois componentes ou subsistemas não impede que a ação de

segurança ocorra. A tolerância mínima a falhas de hardware é definida para aliviar

eventuais deficiências nos projetos de SIF devido ao número de suposições

assumidas tanto no projeto quanto na incerteza das taxas de falha dos componentes

ou subsistemas utilizados em diferentes aplicações de processos.

5.4.1- Considerações Iniciais

A probabilidade de falha calculada de cada função instrumentada de segurança

devido a falhas de hardware deve considerar:

a) a arquitetura do SIS no que se refere a cada função instrumentada de

segurança em questão;

b) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,

em qualquer dos modos que causaria uma falha perigosa do SIS, mas que não

sejam detectadas por testes de diagnóstico;

43

c) a taxa de falha de cada subsistema devido a falhas aleatórias de hardware,

em qualquer dos modos que causaria uma falha perigosa do SIS que sejam

detectadas por testes de diagnóstico;

d) a suscetibilidade do SIS a falhas de causa comum;

e) a cobertura de diagnóstico de quaisquer testes periódicos de diagnóstico

(determinado de acordo com IEC 61511-2), o intervalo de testes de diagnóstico

associados e a confiabilidade das instalações de diagnóstico;

f) a periodicidade com que são realizados testes funcionais;

g) os tempos de reparo de falhas detectadas;

h) a taxa de falha perigosa estimada de qualquer processo de comunicação em

qualquer dos modos que causaria uma falha perigosa do SIS (ambas detectadas e

não detectadas por testes de diagnóstico);

i) a taxa de falha perigosa estimada de qualquer resposta humana em qualquer

dos modos que causaria uma falha perigosa do SIS (ambas detectadas e não

detectadas por testes de diagnóstico);

j) a susceptibilidade a distúrbios CEM (compatibilidade eletromagnética) (por

exemplo, de acordo com IEC 61326-1); e

k) a susceptibilidade às condições climáticas e mecânicas (por exemplo, de

acordo com IEC 60654-1 e IEC 60654-3).

5.4.2 - Detalhamento prático

De forma geral e prática, o projeto de uma SIF é um processo iterativo que

consiste de:

1) Estudar os requisitos de segurança para as SIF

a) Conhecer o processo;

b) SIL requerido;

c) Tempo de campanha;

d) Taxa mínima de trips espúrios;

e) Tempo de atuação;

f) Requerimentos para os componentes (ex.: TSO - tight shut-off - para

válvulas, selos para transmissores);

44

g) MTTR; e

h) Tempo de partida.

2) Especificar todos os componentes das SIF

a) Estudar as melhores tecnologias aplicáveis;

b) Avaliar implicações dos modos de falhas de cada componente;

c) Avaliar os fatores de cobertura dos componentes; e

d) Avaliar as documentações disponíveis.

3) Calcular o PFDavg (ou PFH nos casos de alta demanda ou demanda

contínua) das SIF

a) Avaliar necessidade de redundância e diversidade de tecnologias;

b) Avaliar necessidade de diagnóstico e sua cobertura;

c) Avaliar necessidade e periodicidade de intervalo de teste funcionais em

operação; e

d) Avaliar necessidade e periodicidade de Partial Stroke Test (teste de

curso parcial) para válvulas on-off.

Embora faça parte dos cálculos de verificação das SIF, o mesmo não endereça

preocupações relacionadas ao projeto do PLC tampouco da sua configuração, tendo

seu foco direcionado para os aspectos relacionados à performance da

instrumentação de campo. Estas considerações do projeto de Automação são

avaliadas durante a elaboração da especificação dos requisitos de segurança.

Como regra geral, os dispositivos de campo podem ser responsáveis por

aproximadamente 90% das falhas de um sistema instrumentado de segurança. O

sistema de lógica em geral é responsável por apenas 10%. Obviamente estas taxas

podem variar significativamente em diferentes tecnologias e configurações.

Dispositivos de campo devem ser selecionados e instalados para minimizar falhas

que podem resultar em informações imprecisas devido às condições decorrentes do

processo e condições ambientais. Condições que devem ser consideradas incluem

corrosão, congelamento de materiais em tubulações, sólidos em suspensão,

polimerização, coqueamento, temperaturas e pressões extremas, condensação na

perna seca de linhas de impulso e condensação insuficiente em pernas cheias de

linhas de impulso.

45

É importante ressaltar que os dados gerais de taxas de falhas são válidos

somente para falhas aleatórias. Falhas sistemáticas (e.g., especificações

inadequadas, processos de má manutenção, erros de calibração, treinamento, etc.)

também podem ter um impacto significativo no desempenho global do sistema.

Taxas de falhas sistemáticas dos dispositivos de campo podem ser maiores do que

para os equipamentos do sistema de lógica porque existem mais atividades

centradas nestes dispositivos.

Com base no exposto acima, temos como um dos objetivos desta etapa do

projeto, além do cálculo para garantir que a probabilidade de falha média sob

demanda e a taxa de falha espúria ou trip espúrio do sistema instrumentado de

segurança atendam o exigido pela especificação de requisitos de segurança, evitar

que falhas sistemáticas devido a erros de especificação de componentes por

aplicabilidade ao processo, fatores de causa comum e arquiteturas mal

dimensionadas também venham a contribuir para a falha do sistema instrumentado

de segurança em cumprir com os requisitos necessários.

Sendo assim, com o uso de uma ferramenta de software, esta parte do projeto

consistiu das seguintes etapas:

a) Levantamento das especificações de todos os componentes utilizados

na construção das SIF;

b) Levantamento e verificação dos dados de falhas de todos os

componentes;

c) Inserção dos dados informativos de cada SIF, incluindo o SIL requerido;

d) Inserção dos dados da especificação dos requisitos de segurança (e.g.,

tempo de campanha, MTTR, etc.).

e) Inserção dos dados de falhas de cada componente em software

específico.

f) Análise e cálculo de desempenho iterativo, testando várias arquiteturas

visando a melhor relação custo/benefício. Nesta fase, opta-se por tentar

a arquitetura mais simples e que se aproxime o máximo possível do

tempo de campanha atingindo o SIL requerido. Se viável e não

comprometer a funcionalidade de segurança, a necessidade de testes

funcionais deve ser minimizada visando evitar a introdução de falhas

sistemáticas no SIS devido a erros em procedimentos de manutenção.

46

g) Verificação do desempenho de cada malha em atingir o SIL requerido,

assim como análise das taxas para falhas espúrias (MTTFS),

capabilidade em relação a IEC 61508, etc.

h) Emissão do relatório conclusivo.

5.4.3 - Seleção de componentes para o projeto de funções instrumentadas de

segurança

Conforme descrito na IEC 61511:2003, os profissionais envolvidos em todas as

etapas do ciclo de vida de segurança devem ter experiência comprovada nas

respectivas fases que estão envolvidos. Para este processo de especificação dos

componentes, torna-se de suma importância que profissionais de instrumentação

com grau de senioridade assumam esta atividade. Isto se deve ao fato que diversos

aspectos relacionados à disciplina de instrumentação devam ser considerados

visando minimizar riscos de falhas perigosas ocultas, tais como:

• Definição de tecnologia de medição adequada;

• Definição de características construtivas de elementos finais (e.g., tipos

de internos de válvulas de controle para evitar fenômenos de “cold-

flow”).

Adicionalmente, a qualidade da documentação para o processo de verificação é

de extrema importância para que o resultado final seja confiável. Conforme já

exposto, componentes e subsistemas para uso em sistemas instrumentados de

segurança devem estar de acordo com a norma IEC 61508 ou cumprir os requisitos

para a seleção baseada no uso prévio conforme a IEC 61511.

47

5.4.4 - Especificação da arquitetura

É necessário quantificar a probabilidade de falha separadamente para cada

função instrumentada de segurança porque diferentes modos de falha de

componentes podem se aplicar e a arquitetura do SIS (em termos de redundância)

também pode variar. Deve-se buscar sempre a melhor arquitetura para atender os

requisitos tanto de segurança quanto de disponibilidade. Antes da emissão das

normas IEC 61508 e IEC 61511, era muito comum as malhas de intertravamento

serem especificadas diretamente como “2oo3 pois é a que melhor atende”. Com os

métodos de cálculo previsto pelas normas IEC esta definição tornou-se mais segura

e realista, pois se define o atendimento aos requisitos de forma mais científica e

baseada em dados de falhas de componentes. Arquiteturas como 1oo2 ou 2oo2

passaram a ser melhor consideradas para atendimentos a alguns requisitos

funcionais de segurança e disponibilidade assim como também aspectos financeiros

começaram a ser melhor analisados.

5.4.5 - Cálculo das funções instrumentadas de segurança

De posse da documentação comprobatória das taxas de falhas seguras

detectáveis, falhas seguras não detectáveis, falhas perigosas detectáveis e falhas

perigosas não detectáveis e com as informações constantes da Especificação dos

Requisitos de Segurança (tempo de campanha, tempo de partida, MTTR fornecido

pela manutenção, etc.) é possível, através de software dedicado, se testar diversas

configurações e intervalos de testes buscando-se sempre a melhor relação custo

benefício e a que seja mais interessante para a planta em relação aos intervalos de

testes e necessidade de partial stroke test para as válvulas on-off. Neste caso

buscou-se o intervalo de teste de 24 meses para todos os componentes, visando-se

eliminar a necessidade de partial stroke test e realizando-se o full stroke test para as

válvulas on-off.

O software utilizado para realização dos cálculos foi o exSILentia version

2.5.1.7.

48

Figura 6 – Software utilizado para a realização dos cálculos de verificação de

SIL.

O banco de dados utilizado para obtenção das taxas de falhas dos

componentes das SIF foi o que consta no próprio software. A versão do banco de

dados está referenciada no relatório automático emitido que está anexado ao

relatório final de verificação de SIL. Para os componentes que não estavam

inseridos no banco de dados do exSILentia, foram utilizados os certificados e

documentos comprobatórios enviados pelos fornecedores. Este software dedicado

utiliza modelos Markov para realização dos cálculos de verificação. A utilização

desta técnica é uma entre as diversas aprovadas pela IEC 61511 conforme disposto

no item 11.9.2 Note 1 e na IEC 61508-7 Annex C. O software também possui

certificação pela IEC 61508 para utilização em projetos de SIS.

5.4.6 - Resultados dos cálculos das SIF

Com os dados inseridos e calculados, obtiveram-se as configurações e

resultados para cada SIF, tendo todas atendendo ao SIL requerido conforme

demonstradas nas figuras 7 a 39 a seguir.

49

Figura 7 – Resultados da verificação da SIF-31-001.


50



51


Figura 12 – Resultados da verificação da SIF-32-003/004.

52



53



54



55


Figura 20 – Resultados da verificação das SIF-33-006/007.

56



57



58



59


Figura 28 – Resultados da verificação das SIF-41-001/002/003.

60



61



62



63



64

Figura 37 – Resultados da verificação das SIF-42-001/002.

Figura 38 – Resultados da verificação das SIF-42-003.

65

Figura 39 – Resultados da verificação das SIF-42-004.

5.4.7 - Relatório de verificação das SIF

Ao final do processo de verificação, a disciplina de instrumentação do projeto

emitiu o relatório de verificação das SIF em forma de documento memória de

cálculo. Este relatório tem por objetivo apresentar o resultado da verificação,

constando todo o processo de cálculo para cada SIF com as taxas de falhas e suas

respectivas documentações comprobatórias. Também foram inseridas informações

sobre a responsabilidade técnica dos envolvidos nas especificações.


Esta etapa do projeto e verificação das funções instrumentadas de segurança

está relacionada com a Clause 11 SIS design and engineering como parte integrante

da documentação comprobatória do Safety life-cycle structure and planning.

5.5 - TESTE DE ACEITAÇÃO DE FÁBRICA E TESTE DE ACEITAÇÃO DE CAMPO DO SIS

Com as SIF verificadas de acordo com o projeto e utilizando os componentes

aprovados e ratificados pelo fornecedor do MAC, o projeto de configuração foi

testado na fábrica do fornecedor pelas equipes de processo, operação e automação

da Braskem, pela equipe da licenciadora Ineos e pela equipe do fornecedor. O

documento SRS foi exaustivamente utilizado durante esta fase, tendo servido de

base para a elaboração dos procedimentos de testes, em conjunto com as

determinações de funcionamento de toda a operação fornecida pela Ineos.

66

Com os sistemas montados em campo, os mesmos foram sendo liberados

gradativamente para as equipes de comissionamento. A fase de comissionamento

foi executada e controlada pelas diversas equipes de operação e manutenção da

ainda futura planta, com suporte das equipes da montadora na solução de desvios.

As equipes de processo da Braskem e da licenciadora Ineos também participaram

ativamente desta fase, oferecendo esclarecimentos funcionais sobre as SIF. O

fornecedor do MAC também apoiou esta fase até a partida unidade.


Esta etapa de testes das funções instrumentadas de segurança está

relacionada com a Clauses 14 SIS Installation and commissioning como parte

integrante da documentação comprobatória do Safety life-cycle structure and

planning.

5.6 - VALIDAÇÃO DAS FUNÇÕES INSTRUMENTADAS DE SEGURANÇA

Com o sistema projetado, montado e comissionado, o objetivo do processo de

validação foi comprovar, através de análises documentais, que o sistema que foi

instalado pode cumprir com os requisitos conforme indicado na especificação dos

requisitos de segurança. Esta etapa do projeto foi realizada analisando-se, além dos

documentos de projetos e análise de riscos descritos anteriormente, todos os testes

realizados durante o comissionamento e a pré-partida do sistema, onde os relatórios

de acompanhamento foram devidamente assinados pelos representantes da

montadora e da operação. Nesta etapa a SRS foi um documento essencial para

consolidação de todos os requisitos funcionais requeridos, sem a qual não haveria

subsídios suficientes para analisar se o SIS está em conformidade com as

necessidades de redução de riscos do processo.


Esta etapa de validação das funções instrumentadas de segurança está

relacionada com a 15 SIS safety validation como parte integrante da documentação


67

CAP. 6 - RESULTADOS

Os resultados da avaliação qualitativa das fases do projeto do SIS da Planta de

PVC Alagoas com a IEC 61511:2003 estão descritos abaixo.

6.1 - FASE AVALIAÇÃO DE PERIGO E RISCO

Objetivo: determinar os perigos e eventos perigosos do processo e dos

equipamentos associados, a sequência dos acontecimentos que levaram a eventos

perigosos, os riscos de processos associados com o evento perigoso, os requisitos

para a redução de risco e as funções de segurança necessárias para atingir a

redução de risco necessária.

Cláusula da IEC 61511: 8 Process Hazard and Risk Assessment.

Entrada: projeto do processo, layout, disposições gerais, objetivos de

segurança.

Saída: descrição dos perigos, as funções de segurança requeridas e a redução

de risco associada.

Considerações: a determinação dos riscos e eventos perigosos foi realizada

conforme técnica de análise conhecida e consolidada por profissionais ligados ao

processo tanto da Braskem quanto da licenciadora Ineos. A técnica de análise foi

conduzida por profissional experiente e documentada apropriadamente.

Resultado da avaliação desta fase: projeto aderente com os requisitos da

norma IEC 61511:2003.

6.2 - FASE ATRIBUIÇÃO DAS FUNÇÕES DE PROTEÇÃO NAS CAMADAS DE PROTEÇÃO

Objetivo: atribuição das funções de proteção nas camadas de proteção e o

nível de integridade de segurança associado a cada função instrumentada de

segurança.

Cláusula da IEC 61511: 9 Allocation of safety functions to protection layers.

Entrada: descrição da função instrumentada de segurança requerida e seus

requisitos integridade de segurança associados.

Saída: descrição da atribuição dos requisitos de segurança.

68

Considerações: a quantificação de SIL para todas as SIF identificadas foi

realizada conforme técnicas de análises definidas em norma interna e reconhecidas

pela IEC 61511, assim como realizadas por profissionais ligados ao processo,

produção, automação e instrumentação da Braskem. A técnica de análise foi

conduzida por consultoria experiente e documentada apropriadamente.


norma IEC 61511:2003.

6.3 - ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA DO SIS

Objetivo: especificar os requisitos para cada SIS, em termos das funções

instrumentadas de segurança e suas integridades de segurança associadas, para

atingir a segurança funcional necessária.

Cláusula da IEC 61511: SIS Safety requirements specification e 12

Requirements for application software, including selection criteria for utility software

Entrada: descrição da atribuição dos requisitos de segurança.

Saída: requisitos de segurança do SIS; requisitos de segurança de software.

Considerações: a elaboração dos requisitos de segurança foi desenvolvida

pelos envolvidos diretamente projeto: fornecedor do MAC, empresa de engenharia,

processo, automação e instrumentação da Braskem. O documento foi elaborado por

consultoria experiente e documentada apropriadamente.


norma IEC 61511:2003.

6.4 - PROJETO E ENGENHARIA DO SIS

Objetivo: projetar o SIS para satisfazer os requisitos das funções

instrumentadas de segurança e da integridade de segurança.

Entradas: requisitos de segurança do SIS; requisitos de segurança de software.

Saídas: projeto do SIS de acordo com os requisitos de segurança do SIS;

planejamento para teste de integração do SIS.

69

Considerações: a elaboração do projeto do SIS foi desenvolvida pela empresa

de engenharia e pelo fornecedor do MAC, sob supervisão do processo, automação e

instrumentação da Braskem. A verificação de SIL foi realizada por profissional

certificado em especificações de sistemas de segurança da Braskem, com as

informações advindas da empresa de engenharia e do fornecedor do MAC. Os

documentos gerados para o projeto foram aprovados pela Braskem e arquivados

apropriadamente.


norma IEC 61511:2003.

6.5 - COMISSIONAMENTO DA INSTALAÇÃO E VALIDAÇÃO DO SIS

Objetivo: integrar e testar o SIS, validar que o SIS atende em todos os aspectos

os requisitos para segurança nos termos das funções instrumentadas de segurança

requeridas e da integridade de segurança.

Entradas: projeto do SIS, Plano de teste de integração do SIS, requisitos de

segurança do SIS, plano para validação de segurança do SIS.

Saídas: funcionamento completo do SIS de acordo com o projeto do SIS,

resultados dos testes de integração do SIS, Resultados da instalação,

comissionamento e atividades da validação.

Considerações: o comissionamento do projeto do SIS foi desenvolvido tanto em

fábrica quanto em campo pela equipes de automação, produção, manutenção e

instrumentação da Braskem, com o apoio da empresa de engenharia, do fornecedor

do MAC, da licenciadora e da montadora. Os documentos comprobatórios de cada

etapa foram aprovados pela Braskem e arquivados apropriadamente. O processo de

validação do SIS foi realizado por consultoria independente do projeto contratada

pelo fornecedor do MAC.


norma IEC 61511:2003.

70

6.6 - RESULTADO GERAL DO PROJETO DE SIS DA PLANTA DE PVC ALAGOAS

O projeto da planta de PVC Alagoas atendeu as fases descritas nos diversos

requisitos da norma IEC 61511:2003, tanto nos aspectos qualitativos quanto nos

aspectos de independência e competência dos executantes entre as diversas fases.

Estes aspectos são evidenciados pela quantidade e qualidade das empresas e

equipes que participaram do projeto de SIS: Braskem (processo, automação,

instrumentação, produção, manutenção), Ineos (licenciadora da tecnologia de

processo), Genpro (empresa de engenharia), Emerson Process (fornecedor do

MAC), Exida (consultoria), DNV (consultoria de segurança) e CNO (montagem).

Todo o projeto foi apropriadamente documentado e está disponível para a produção,

manutenção e para os gestores de riscos da unidade para que sejam cumpridas as

próximas fases do ciclo de vida de segurança preconizadas pela norma.

71

CAP. 7 - CONCLUSÃO

O processo de atendimento aos requisitos do ciclo de vida de segurança

proposto pela IEC 61511 nas fases de projeto depende de uma equipe

multifuncional de profissionais comprovadamente capacitados para executar cada

etapa do ciclo.

Equipes de processo devem estar qualificadas e certificadas em técnicas de

análise de riscos de processo visando identificar e quantificar apropriadamente os

riscos de cada processo. Funções instrumentadas de segurança mal dimensionadas

durante esta importante etapa do projeto podem gerar custos adicionais decorrentes

de um sobre dimensionamento das exigências de prevenção e/ou mitigação de

riscos mal analisados. Por outro lado, o processo poderá não ser devidamente

protegido contra riscos devido aspectos importantes das funções instrumentadas de

segurança não terem sido detectados durante a fase de identificação dos riscos e

especificação dos requerimentos.

Equipes de automação devem estar qualificadas e certificadas em projetos de

funções instrumentadas de segurança visando entender a importância da

elaboração dos requisitos funcionais de segurança de tais projetos para que modos

de falha comum e probabilidades de falhas sistemáticas sejam devidamente

minimizados. Do mesmo modo, equipes de instrumentação devem estar qualificadas

e certificadas visando minimizar estas mesmas falhas e cumprir os requerimentos

para cálculos das probabilidades de falha sob demanda, assim como entender a

importância da minimização de falhas perigosas não detectáveis durante a fase de

projeto.

Hoje a Braskem tem avançado nas especificações de funções instrumentadas

de segurança coordenando equipes capacitadas e qualificadas de projetos,

processo das unidades industriais e SSMA e contando com a colaboração de

consultorias especializadas em quantificação de riscos industriais e na elaboração

das melhores técnicas de engenharia de SIS. Além de usar a norma IEC

61511:2003 como referência, o desenvolvimento de uma cultura de segurança

desde a concepção do projeto até os procedimentos para manutenção do SIL ao

longo de toda a vida do projeto é fundamental para alcançar o objetivo final que é a

proteção da sociedade na qual está inserida.

72

Esta filosofia de trabalho advém do suporte organizacional da alta

administração da empresa, expressada através da adoção das melhores práticas de

governança corporativa e uma forte cultura empresarial que orienta a forma de

atuação da empresa. A adoção de Elementos Estratégicos como forma de gestão é

aplicada diretamente no dia-a-dia da empresa, tendo os princípios da política de

Qualidade, Saúde, Segurança e Meio Ambiente como norteadores para o processo

de gerenciamento do ciclo de segurança de seus ativos.

Finalizo este trabalho expressando os conceitos de Summers (2009), onde é

dito que definir e manter uma estratégia abrangente de redução de riscos requer

esforço. A melhoria contínua não tem um começo ou fim definido, porque a

segurança é uma coisa diária. Obter-se segurança não é um processo fácil. Se o

fosse, não haveria necessidade de tantas práticas e orientações para obtê-la.

Também não haveria necessidade de relações públicas e tantas campanhas de

orientação e conscientização.

Para se ter sucesso, a segurança deve ser um valor de negócio. Alcançá-la é

uma virtude.

73

REFERÊNCIAS BIBLIOGRÁFICA

AICHE. Guidelines for Hazard Evaluation Procedures. Third Edition. ed. New

York. New York: John Wiley & Sons, Inc., 2008. ISBN 978-0-47 1-978 15-2.

BECKMAN, L. Determining the required safety integrity level for your process.

ISA Transactions, v. 37, n. 2, p. 105-111, 1998 Abril.

GOBLE, W. M.; CHEDDIE, H. Safety Instrumented Systems Verification -

Practical Probabilistic Calculations. Triangle Park, NC: ISA - The Instrumentation,

Systems and Automation Society, 2005. ISBN 1-55617-909-X.

GREEN, D. L.; ARTHUR M. DOWELL, I. P. E. How to design, verify and

validate emergency shutdown systems. ISA Transactions, v. 34, n. 3, p. 261-272,

Outubro 1995.

GRUHN, P. et al. Quantifying the impact of partial stroke valve testing of safety

instrumented systems. ISA Transactions, v. 37, n. 2, p. 87-94, Abril 1998.

GRUHN, P.; CHEDDIE, H. Safety Instrumented Systems - Design, Analysis,

and Justification. 2nd Edition. ed. Triangle Park, NC: ISA - The Instrumentation,

Systems, and Automation Society, 2006. ISBN 1-55617-956-1.

GUO, H.; YANG, X. A simple reliability block diagram method for safety integrity

verification. Reliability Engineering & System Safety, Barking, Inglaterra, v. 92, n. 9,

p. 1267-1273, Setembro 2007.

HEALTH AND SAFETY EXECUTIVE. Out of Control: Why Control Systems Go

Wrong and How to Prevent Failure. Sheffield, U.K.: [s.n.], 1995.

HOKSTAD, P.; CORNELIUSSEN, K. Loss of safety assessment and the IEC

61508 standard. Reliability Engineering and System Safety, Barking, Inglaterra, v.

83, n. 1, p. 111-120, Janeiro 2004.

INTERNATIONAL ELECTROTECHNICAL COMMISSION (IEC). IEC 61511

Functional Safety: Safety Instrumented Systems for the Process Sector. Genebra,

Suiça: [s.n.], 2003.

74

JIN, H.; LUNDTEIGEN, M. A.; RAUSAND, M. Reliability performance of safety

instrumented systems: A common approach for both low- and high-demand mode of

operation. Reliability Engineering & System Safety, Barking, Inglaterra, v. 96, n. 3, p.

365-373, Março 2011.

LANGERON, Y. et al. Combination of safety integrity levels (SILs): A study of

IEC 61508 merging rules. Journal of Loss Prevention in the Process Industries, v. 21,

n. 4, p. 437-449, Julho 2008.

LIU, Y.; RAUSAND, M. Reliability assessment of safety instrumented systems

subject to different demand modes. Journal of Loss Prevention in the Process

Industries, v. 24, n. 1, p. 49-56, Janeiro 2011.

LUNDTEIGEN, M. A.; RAUSAND, M. Partial stroke testing of process shutdown

valves: How to determine the test coverage. Journal of Loss Prevention in the

Process Industries, v. 21, n. 6, p. 579-588, Novembro 2008.

LUNDTEIGEN, M. A.; RAUSAND, M. Spurious activation of safety instrumented

systems in the oil and gas industry: Basic concepts and formulas. Reliability

Engineering & System Safety, Barking, Inglaterra, v. 93, n. 8, p. 1207-1217, Agosto

2008.

LUNDTEIGEN, M. A.; RAUSAND, M. Architectural constraints in IEC61508: Do

they have the intended effect? Reliability Engineering and System Safety, Barking,

Inglaterra, v. 94, n. 2, p. 520-525, Fevereiro 2009.

MACDONALD, D. Practical Industrial Safety, Risk Assessment, and Shutdown

Systems. [S.l.]: Elsevier Science & Technology Books, 2004. ISBN 0750658045.

ROUVROYE, J. L.; BROMBACHER, A. C. New quantitative safety standards:

different techniques, different results? Reliability Engineering & System Safety,

Volume 66, Issue 2, November 1999, Pages 121-125, Barking, Inglaterra, v. 66, n. 2,

p. 121-125, Novembro 1999.

SMITH, D. J.; SIMPSON, K. G. L. Functional Safety: A Straightforward Guide to

applying IEC 61508 and Related Standards. 2nd Edition. ed. Burlington, Inglaterra:

Elsevier Butterworth-Heinemann, 2004. ISBN 0-7506-6269-7.

75

SUBCOMMITTEE, CENTER FOR CHEMICAL PROCESS SAFETY LAYER OF

PROTECTION ANALYSIS. Layer of Protection Analysis: Simplified Process Risk

Assessment. New York, New York: AIChe, 2001. ISBN 0-8169-0811-7.

SUMMERS, A. E. IEC 61511 and the capital project process - A protective

management system approach. Journal of Hazardous Materials, v. 130, n. 1-2, p. 28-

32, Março 2006.

SUMMERS, A. E. Continuous improvement and existing safety systems.

Journal of Loss Prevention in the Process Industries, v. 22, n. 6, p. 685-688,

Novembro 2009.

TIMMS, C. R. IEC 61508/61511- Pain or Gain? Process Safety Progress, v. 22,

n. 2, p. 105-108, Junho 2003.

1

GLOSSÁRIO

ARQUITETURA - arranjo de elementos de hardware e/ou software em um

sistema, por exemplo, arranjo de subsistemas de sistemas instrumentados de

segurança (SIS), estrutura interna de um subsistema SIS ou arranjo de programas

de softwares.

CAMADA DE PROTEÇÃO - qualquer mecanismo independente que reduza o

risco através de controle, prevenção ou mitigação.

COBERTURA DE DIAGNÓSTICO - razão entre a taxa de falha detectada e a

taxa de falha total do componente ou subsistema, conforme detectado pelos testes

de diagnóstico. Cobertura de diagnóstico não diz respeito a quaisquer falhas

detectadas pelos testes funcionais.

COMPONENTE - uma das partes de um sistema, subsistema ou dispositivo

desempenhando uma função específica.

DIVERSIDADE - existência de diferentes modos de se executar uma função

requerida

ELEMENTO FINAL - parte de um sistema instrumentado de segurança que

executa a ação física necessária para se alcançar o estado seguro

ESTADO SEGURO - estado do processo na qual a segurança foi atingida.

FALHA - perda da aptidão de parte do sistema em executar uma função

requerida.

FALHA ALEATÓRIA DE HARDWARE - falha que ocorre em momento

aleatório resultante de uma variedade de mecanismos de degradação do hardware.

FALHA DETECTADA - referem-se às falhas de hardware e software,

detectadas por testes de diagnóstico ou através da operação normal

FALHA PERIGOSA - falha que tem o potencial de colocar o sistema

instrumentado de segurança em estado perigoso ou na impossibilidade de executar

sua função.

FALHA POR CAUSA COMUM - falha, que é resultado de um ou mais eventos,

causando falhas de dois ou mais canais separados em um sistema de canais

múltiplos, levando a uma falha do sistema.

2

FALHA SEGURA - falha que não tem o potencial de colocar o sistema

instrumentado de segurança em estado de perigo ou impedido de atuar.

FALHA SISTÊMICA - falha relacionada de forma determinista a certa causa, a

qual pode ser eliminada através de: modificação do projeto ou do processo

industrial, procedimentos operacionais, documentação ou outros fatores relevantes.

FRAÇÃO DE FALHA SEGURA - fração da taxa geral de falha aleatória do

hardware de um dispositivo que resulte em uma falha segura ou uma falha perigosa

detectada.

FUNÇÃO INSTRUMENTADA DE SEGURANÇA (SIF) - função de segurança

com um SIL (nível de integridade de segurança) especificado, o qual é necessário

para alcançar a segurança funcional, podendo ser tanto uma função de proteção

instrumentada de segurança ou uma função de controle instrumentada de

segurança.

FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO CONTÍNUO -

quando no evento de uma falha perigosa da função instrumentada de segurança, um

perigo potencial ocorrerá independentemente de outras falhas a menos que ações

sejam tomadas para prevenção.

FUNÇÃO INSTRUMENTADA DE SEGURANÇA EM MODO DE DEMANDA -

quando uma ação específica (por exemplo, fechar uma válvula) é tomada em

resposta a condições do processo ou outras demandas. No evento de uma falha

perigosa da função instrumentada de segurança, o perigo potencial só ocorre no

evento de uma falha no processo ou no BPCS.

INSTRUMENTO - dispositivo usado para executar uma ação (tipicamente

encontrado em sistemas instrumentados).

MODO DE OPERAÇÃO - modo no qual uma função instrumentada de

segurança opera.

PERIGO - fonte potencial de dano.

PROTEÇÃO DE ATIVOS - função atribuída à concepção do sistema com o

propósito de prevenir danos em ativos.

3

REDUNDÂNCIA - uso de múltiplos elementos ou sistemas para executar a

mesma função; a redundância pode ser implementada por elementos idênticos

(redundância idêntica) ou por elementos diversos (redundância diversificada).

RISCO - combinação da frequência de ocorrência do dano com a severidade

deste dano.

RISCO TOLERÁVEL - risco que é aceito em um determinado contexto

baseado nos valores atuais de sociedade.

SEGURANÇA - livre de riscos inaceitáveis.

SEGURANÇA FUNCIONAL - parte da segurança total relacionada ao processo

e ao BPCS que depende do correto funcionamento do SIS e de outras camadas de

proteção.

SISTEMA BÁSICO DE CONTROLE DE PROCESSO (BPCS) - sistema que

responde aos sinais de entrada do processo, seus equipamentos associados, outros

sistemas programáveis e/ou a um operador, gerando sinais de saída de modo que o

processo e seus equipamentos associados operem da maneira desejada, mas que

não realiza nenhuma função instrumentada de segurança, ou seja, com SIL

requerido ≥ 1

SISTEMA DE CONTROLE - sistema que responde aos sinais de entrada do

processo e/ou de um operador, gerando sinais de saída de modo que o processo

opere da maneira desejada.

SISTEMA INSTRUMENTADO DE SEGURANÇA (SIS) - sistema instrumentado

usado para implementar uma ou mais funções instrumentadas de segurança. Um

SIS é composto de qualquer combinação de sensor(es), logic solver(s) e

elemento(s) final(ais).

TESTE FUNCIONAL - teste executado para revelar falhas não detectadas em

um sistema instrumentado de segurança para que, se necessário, o sistema possa

ser restaurado para sua funcionalidade projetada.

TOLERÂNCIA A FALHAS - aptidão de um componente em manter a função

requerida mesmo na ocorrência de avarias ou erros.

4

USO COMPROVADO (PROVEN-IN-USE) - quando uma avaliação

documentada, baseadas em usos prévios do componente, mostrou que existem

evidências apropriadas e suficientes que o mesmo é adequado para uso em um

sistema instrumentado de segurança.

VALIDAÇÃO - atividade de demonstrar que a função instrumentada de

segurança e o sistema instrumentado de segurança, após a instalação, satisfaçam

todos os aspectos dos requisitos de segurança especificados

VERIFICAÇÃO - atividade de mostrar para cada fase relevante do ciclo de vida

de segurança, por análise e/ou testes, que, para entradas específicas, as saídas

satisfazem todos os aspectos dos requisitos de segurança para a determinada fase.

1

ANEXO A – EXEMPLO DE PLANILHA DE LOPA DO PROJETO

1

ANEXO B – EXEMPLO DE VERIFICAÇÃO DE SIF

FIS-41-013 Falha ESS P do R-4101A

Este anexo apresenta os resultados da análise para a Função Instrumentada

de Segurança FIS-41-013 Falha ESS P do R-4101A.

Informações Gerais

A Função Instrumentada de Segurança é identificada por:

Nome da SIF Falha ESS P do R-4101A

Tag da SIF FIS-41-013

Descrição da SIF Proteção contra descontrole reacional no reator R-4101A devido

à falha do sistema primário de inibição do reator ou pressão

muito alta no reator. Abertura das 3 válvulas do sistema de N2 e

do vaso de inibição XV- 41004A, XV-41005A, XV-41006A (3oo3)

e as 2 válvulas de injeção no Reator XV-41039A, XV-41040A

(1oo2).

Referência da SIF SRS BK-AL03-00099-RT-90-00002 Rev. 0 (exida Consulting)

Relatório Técnico DNV - Estudos de LOPA (Layer of Protection

Analysis) e SIL (Safety Integrity Level) para o Projeto de

Ampliação das Plantas de PVC e MVC da Braskem PVC - AL

No: 12TS04C-1 Rev. 1, 2010-12-22

Fluxograma BK-AL03-00041-FX-21-00002_00002

Fluxograma BK-AL03-00041-FX-21-00006

Fluxograma BK-AL03-00041-FX-21-00013

Nome da Unidade PVC

Perigo Falha do Sistema Primário de Inibição e aumento da Pressão do

sistema e consequente ruptura do Reator, em caso de falha do

sistema de inibição e da PSV.

Consequência Segurança: Liberação de MVC para a atmosfera com formação

de incêndio em nuvem e explosão em nuvem.

Meio ambiente: -

2

Equipamentos: Danos a equipamentos e instalação devido a

incêndio em nuvem e explosão em nuvem.

Níveis de Integridade de Segurança

O Nível de Integridade de Segurança (determinado) que se deseja atingir por

esta Função Instrumentada de Segurança é:

SIL 2 com RRF > 100

A verificação do SIL concluiu que o Nível de Integridade de Segurança

alcançado por esta Função Instrumentada de Segurança é:

SIL 2 com RRF = 302

SILver

Esta seção fornece uma visão detalhada da verificação do Nível de Integridade

de Segurança realizado para a Função Instrumentada de Segurança FIS-41-013

Falha ESS P do R-4101A. De forma a realizar a parte dos cálculos de confiabilidade

da verificação do nível de integridade de segurança, são definidas as seguintes

premissas.

Tempo de Missão: 2 anos

Tempo de Partida: 24 horas

A SIF opera em modo de demanda Baixo.

3

A verificação de SIL foi realizada por Erick Jomil Bahia Garcia, CFSP, em 08

set 2011.

A capabilidade sistemática dos diversos componentes da Função

Instrumentada de Segurança FIS-41-013 Falha ESS P do R-4101A não foi

considerada. Consequentemente, a verificação SIL realizada apenas aborda os

requisitos quantitativos da IEC 61511.

Observações: Ver Relatório Técnico DNV No: 12TS04C-1 Rev 1, 2010-

12-22.

4

A partir dos dados de confiabilidade e dos detalhes dos cálculos descritos nas

próximas subseções deste relatório, a FIS-41-013 Falha ESS P do R-4101A atinge o

desempenho de segurança funcional mostrado na Tabela 1.

Tabela 1 Desempenho de Segurança Funcional

PFDavg RRF SIL

(PFDavg)

SIL

(Restrições da

Arquitetura IEC

61508)

SIL

(Systematic

Capability)

3,31E-03 302 2 2 2

A FIS-41-013 Falha ESS P do R-4101A também foi avaliada sobre o

comportamento relativo a intertravamentos espúrios. Os resultados expressos para

MTTFS são exibidos na Tabela 2.

Tabela 2 Intertravamentos Falsos

MTTFS (anos)

52,37

5

Configuração da Parte do Sensor

A função de segurança e o comportamento de intertravamento falso da parte do

sensor na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do R-

4101A é quantificada da seguinte forma:

PFDavg da parte do Sensor: 2,40E-08

HFT da parte do Sensor: 4

MTTFS da parte do Sensor: 57,01 anos

As Restrições de Arquitetura (IEC 61508) da parte do sensor permitem usar até

SIL 4.

A FIS-41-013 Falha ESS P do R-4101A da parte do sensor consiste de 3

Grupo(s) de Sensor (es). A votação entre esses Grupos Sensores é 1oo3. Foi

considerado um fator de "causa comum" de 1% entre os grupos de sensores.

Grupo de Sensores 1: ZSL-41044A/41045A/41046A

As informações e dados de confiabilidade abaixo descrevem o Grupo de

Sensores ZSL-41044A/41045A/41046A como foi analisado na verificação do Nível

de Integridade de Segurança.

Votação dentro do grupo: 1oo3

HFT: 2

Tipo de Votação: Idêntica

Unidade Equipamento (cada): DXP-L20GNEB - GO SWITCH (Sys. Cap.: 2)

(My Own)

Intertravamento em alto

6

KFD2-SR2-Ex1.W (Sys. Cap.: 3) (My Own)

facor-β: 1 [%]

MTTR: 48 hora

Intervalo do Roteiro de Teste: 24 meses

Cobertura do Roteiro de Teste: 0 [%]

Tabela 3 mostra os dados de confiabilidade usados durante a verificação do

Nível de Integridade de Segurança do grupo sensor ZSL-41044A/41045A/41046A.

Tabela 3 Dados de Confiabilidade do Grupo Sensor ZSL-

41044A/41045A/41046A

Componente

Failure Rates [1/h] Tipo de

Arq

SFF [%] Falha

Baixa Falha Alta

Falha Det. DD DU SD SU Res.

Cada Unidade 86,3

DXP-L20GNEB - GO SWITCH

1,55E-09 3,45E-09 B -

KFD2-SR2-Ex1.W 2,58E-08 9,21E-08 7,66E-08 B -

Grupo de Sensores 2: PI-41011A


Sensores PI-41011A como foi analisado na verificação do Nível de Integridade de

Segurança.


HFT: 0

Tipo de Votação: -

Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)

Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)


Ajuste de Alarmes: Limite Inferior da Escala

Filtro de Diagnóstico: On

Trip On Alarm: On

KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)

7

fator-β: - [%]

MTTR: 48 hora




Nível de Integridade de Segurança do grupo sensor PI-41011A.

Tabela 4 Dados de Confiabilidade do Grupo Sensor PI-41011A

Componente


Arq

SFF [%] Falha

Baixa Falha Alta


Cada Unidade 95,7

Rosemount 3051T, SW Rev 7.0 or above

2,60E-08

5,80E-08

2,56E-07

3,40E-08

3,40E-08

3,40E-07

1,15E-07

1,15E-07 B -

Clean Service

A -

KFD2-STC4-Ex1

2,20E-07

9,87E-09

9,87E-09

2,20E-07

3,02E-07

3,02E-07

A -

Os dados mostrados em azul e em itálico indicam o efeito do PLC detection

configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.

Grupo de Sensores 3: PI-41012A


Sensores PI-41012A como foi analisado na verificação do Nível de Integridade de

Segurança.


HFT: 0

Tipo de Votação: -

Unidade Equipamento (cada): Clean Service (Sys. Cap.: N/A)

Rosemount 3051T, SW Rev 7.0 or above (Sys. Cap.: 2/3)


Ajuste de Alarmes: Limite Inferior da Escala

Filtro de Diagnóstico: On

Trip On Alarm: On

8

KFD2-STC4-Ex1 (Sys. Cap.: 3) (My Own)

fator-β: - [%]

MTTR: 48 hora




Nível de Integridade de Segurança do grupo sensor PI-41012A.

Tabela 5 Dados de Confiabilidade do Grupo Sensor PI-41012A

Componente


Arq

SFF [%] Falha

Baixa Falha Alta


Cada Unidade 95,7

Rosemount 3051T, SW Rev 7.0 or above

2,60E-08

5,80E-08

2,56E-07

3,40E-08

3,40E-08

3,40E-07

1,15E-07

1,15E-07 B -

Clean Service

A -

KFD2-STC4-Ex1

2,20E-07

9,87E-09

9,87E-09

2,20E-07

3,02E-07

3,02E-07

A -

Os dados mostrados em azul e em itálico indicam o efeito do PLC detection

configuration que o controlador lógico (CLP) executa nos dados do grupo sensor.

Configuração da Parte do Controlador Lógico


controlador lógico na Função Instrumentada de Segurança FIS-41-013 Falha ESS P

do R-4101A é quantificada da seguinte forma:

PFDavg da parte do Controlador Lógico: 3,48E-05

HFT da parte do Controlador Lógico: 0

MTTFS da parte do Controlador Lógico: 717,57 anos

As Restrições de Arquitetura (IEC 61508) da parte do Controlador Lógico

permitem usar até SIL 3.

A informação e dados de confiabilidade abaixo descrevem o grupo de

Controlador Lógico CLP de Segurança como analisado durante a verificação do

Nível de Integridade de Segurança.

9

Nome do Controlador Lógico: CLP de Segurança

Equipamento: Emerson DeltaV SIS Redundant SLS

MTTR: 24 horas



fator-β: 2 [%]

Tipo de Restrição da Arquitetura: B

Tabela 6 os dados de confiabilidade utilizados durante a verificação de SIL do

grupo do Controlador Lógico CLP de Segurança.

Tabela 6 Dados de Confiabilidade do Controlador Lógico CLP de Segurança

Componente

Número usado em

análise por Unidade

Taxa de Falhas [1/h] SFF [%] SD SU DD DU Res.

Processador Principal [Emerson SLS1508 Main Processor]

1 1,10E-06 1,50E-08 1,30E-06 6,00E-09 6,89E-07 99,86

Fonte de Alimentação [Generic Power Supply]

1 2,25E-06 2,50E-07 100,00

Canal de Entrada Analógica 2 2,90E-08 2,30E-08 8,00E-12 4,10E-08 -

Canalde Entrada Digital 3 1,30E-08 2,70E-08 1,30E-08 4,60E-08 -

Canal de Saída Digital de Baixa (Tensão)

5 2,00E-08 1,20E-08 1,40E-08 -

Com Enhanced Diagnostics: Sim

Switchover every 6 meses

Configuração da Parte do Elemento Final


elemento final na Função Instrumentada de Segurança FIS-41-013 Falha ESS P do

R-4101A é quantificada da seguinte forma.

PFDavg da parte do Elemento Final: 3,27E-03

HFT da parte do Elemento Final: 0

MTTFS da parte do Elemento Final: 6155,14 anos

As Restrições de Arquitetura (IEC 61508) da parte do Elemento Final permitem

usar até SIL 2.

10

A parte do Elemento Final na Função Instrumentada de Segurança FIS-41-013

Falha ESS P do R-4101A consiste do 2 Grupo(s) de Elementos Finais. A votação

entre os Grupos de Elementos Finais é 2oo2. Foi considerado um fator de "causa

comum" de 1% entre os grupos de elementos finais.

Grupo do Elemento Final 1: XV-41004A/5A/6A

As informações e dados de confiabilidade abaixo descrevem o Grupo do

Elemento Final XV-41004A/5A/6A como analisado durante a verificação do Nível de

Integridade de Segurança.


HFT: 0

Tipo de votação: Idêntica

Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-

(Ex)1.LK.**** (Sys. Cap.: 3)

ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.

Cap.: 3)

El-O-Mastic E-Series, Spring-Return (Sys. Cap.: 2)

F30-CSJR (Bray) (Sys. Cap.: 3) (My Own)

Serviço em Ambiente Limpo, Full Stroke, Abre para

Intertravar

Fator-β: 1 [%]

MTTR: 96 horas

Intervalo do Roteiro de Testes: 1 meses

Cobertura do Roteiro de Testes: 95 [%]

11


Nível de Integridade de Segurança do grupo do Elemento Final XV-41004A/5A/6A.

Tabela 7 Dados de Confiabilidade do Grupo do Elemento Final XV-

41004A/5A/6A

Componente Taxa de Falha [1/h] Tipo de

Arq. SFF [%] DD DU SD SU Residual

Cada Unidade 80,6

Pepperl+Fuchs KFD2-SL2-(Ex)1.LK.****

1,03E-08 3,38E-07 3,66E-07 A -

ASCO Series 551/552/553 NC, CAI, 3/2, Single

5,07E-07 4,14E-07 1,19E-06 A -

El-O-Matic E-Series, Spring-Return

3,42E-07 7,60E-08 1,55E-06 A -

F30-CSJR (Bray) 3,38E-07 1,03E-06 A -

Grupo do Elemento Final 2: XV- 41010A/XV- 41011A

As informações e dados de confiabilidade abaixo descrevem o Grupo do

Elemento Final XV- 41010A/XV- 41011A como analisado durante a verificação do

Nível de Integridade de Segurança.


HFT: 1

Tipo de votação: Idêntica

Unidade Equipamento (cada): Pepperl+Fuchs KFD2-SL2-

(Ex)1.LK.**** (Sys. Cap.: 3)

ASCO Series 551/552/553 NC, CAI, 3/2, Single (Sys.

Cap.: 3)

El-O-Matic E-Series, Spring-Return (Sys. Cap.: 2)

F15-SSJG (Bray) (Sys. Cap.: 3) (My Own)

Serviço em Ambiente Limpo, Full Stroke, Abre para

Intertravar

Fator-β: 1 [%]

MTTR: 96 horas

Intervalo do Roteiro de Testes: 24 meses

12

Cobertura do Roteiro de Testes: 63 [%]


Nível de Integridade de Segurança do grupo do Elemento Final XV- 41010A/XV-

41011A.

Tabela 8 Dados de Confiabilidade do Grupo do Elemento Final XV- 41010A/XV-

41011A

Componente Taxa de Falha [1/h] Tipo de

Arq. SFF [%] DD DU SD SU Residual

Cada Unidade 78,2

Pepperl+Fuchs KFD2-SL2-(Ex)1.LK.****

1,03E-08 3,38E-07 3,66E-07 A -

ASCO Series 551/552/553 NC, CAI, 3/2, Single

5,07E-07 4,14E-07 1,19E-06 A -

El-O-Matic E-Series, Spring-Return

3,42E-07 7,60E-08 1,55E-06 A -

F15-SSJG (Bray) 4,83E-07 8,84E-07 A -

aplicaÇÃo do ciclo de vida de seguranÇa da iec61511.pdf

Documents